此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

此版本仍在开发中,尚未被视为稳定版本。对于最新的稳定版本,请使用 Spring Security 6.3.3spring-doc.cn

需要显式保存 SecurityContextRepository

在 Spring Security 5 中,默认行为是使用SecurityContextPersistenceFilterSecurityContext自动保存到SecurityContextRepository中。 必须在提交之前和之前完成保存。 遗憾的是,如果在请求完成之前(即在提交 之前)完成 的自动持久化,则可能会让用户感到惊讶。 跟踪状态以确定是否需要保存也很复杂,有时会导致对 (即 ) 进行不必要的写入。HttpServletResponseSecurityContextPersistenceFilterSecurityContextHttpServletResponseSecurityContextRepositoryHttpSessionspring-doc.cn

在 Spring Security 6 中,默认行为是 SecurityContextHolderFilter 将仅读取 from 并将其填充到 . 如果用户希望 在请求之间持久保存,现在必须显式保存 。 这消除了歧义并提高了性能,因为只需要在必要时写入 (即 )。SecurityContextSecurityContextRepositorySecurityContextHolderSecurityContextSecurityContextRepositorySecurityContextSecurityContextRepositoryHttpSessionspring-doc.cn

清除上下文时(例如在注销期间),也需要保存上下文。请参阅此部分以了解更多信息spring-doc.cn

要选择新的 Spring Security 6 默认值,可以使用以下配置。spring-doc.cn

显式保存 SecurityContext
public SecurityFilterChain filterChain(HttpSecurity http) {
	http
		// ...
		.securityContext((securityContext) -> securityContext
			.requireExplicitSave(true)
		);
	return http.build();
}
@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
    http {
        securityContext {
            requireExplicitSave = true
        }
    }
    return http.build()
}
<http security-context-explicit-save="true">
	<!-- ... -->
</http>

使用配置时,如果应在请求之间保留,则任何使用 a 设置 the 的代码也必须保存 to。SecurityContextHolderSecurityContextSecurityContextSecurityContextRepositoryspring-doc.cn

例如,以下代码:spring-doc.cn

设置SecurityContextHolderSecurityContextPersistenceFilter
SecurityContextHolder.setContext(securityContext);
SecurityContextHolder.setContext(securityContext)

应替换为spring-doc.cn

设置SecurityContextHolderSecurityContextHolderFilter
SecurityContextHolder.setContext(securityContext);
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse);
SecurityContextHolder.setContext(securityContext)
securityContextRepository.saveContext(securityContext, httpServletRequest, httpServletResponse)

清除上下文时(例如在注销期间),也需要保存上下文。请参阅此部分以了解更多信息spring-doc.cn

更改为HttpSessionSecurityContextRepositoryDelegatingSecurityContextRepository

在 Spring Security 5 中,默认的SecurityContextRepository是。HttpSessionSecurityContextRepositoryspring-doc.cn

在 Spring Security 6 中,默认值为 。 要选择新的 Spring Security 6 默认值,可以使用以下配置。SecurityContextRepositoryDelegatingSecurityContextRepositoryspring-doc.cn

使用 6.0 默认值配置 SecurityContextRepository
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	http
		// ...
		.securityContext((securityContext) -> securityContext
			.securityContextRepository(new DelegatingSecurityContextRepository(
				new RequestAttributeSecurityContextRepository(),
				new HttpSessionSecurityContextRepository()
			))
		);
	return http.build();
}
@Bean
fun securityFilterChain(http: HttpSecurity): SecurityFilterChain {
	http {
		// ...
		securityContext {
			securityContextRepository = DelegatingSecurityContextRepository(
				RequestAttributeSecurityContextRepository(),
				HttpSessionSecurityContextRepository()
			)
		}
	}
	return http.build()
}
<http security-context-repository-ref="contextRepository">
	<!-- ... -->
</http>
<bean name="contextRepository"
	class="org.springframework.security.web.context.DelegatingSecurityContextRepository">
		<constructor-arg>
			<bean class="org.springframework.security.web.context.RequestAttributeSecurityContextRepository" />
		</constructor-arg>
		<constructor-arg>
			<bean class="org.springframework.security.web.context.HttpSessionSecurityContextRepository" />
		</constructor-arg>
</bean>

如果您已在使用 以外的 实现,则应将其替换为您在上例中选择的实现,以确保它与 一起使用。HttpSessionSecurityContextRepositoryRequestAttributeSecurityContextRepositoryspring-doc.cn

如果您已在使用 以外的 实现,则应将其替换为您在上例中选择的实现,以确保它与 一起使用。HttpSessionSecurityContextRepositoryRequestAttributeSecurityContextRepositoryspring-doc.cn

地址弃用SecurityContextRepository

在 Spring Security 5.7 中,向SecurityContextRepository添加了一个新方法,其签名为:spring-doc.cn

Supplier<SecurityContext> loadContext(HttpServletRequest request)

随着 Spring Security 5.8 中DelegatingSecurityContextRepository的添加,该方法已被弃用,取而代之的是具有签名的新方法:spring-doc.cn

DeferredSecurityContext loadDeferredContext(HttpServletRequest request)

在 Spring Security 6 中,已删除弃用的方法。 如果您已经实现了自己并添加了该方法的实现,则可以通过删除该方法的实现并改为实现新方法来为 Spring Security 6 做准备。SecurityContextRepositoryloadContext(request)spring-doc.cn

要开始实施新方法,请使用以下示例提供 :DeferredSecurityContextspring-doc.cn

提供DeferredSecurityContext
@Override
public DeferredSecurityContext loadDeferredContext(HttpServletRequest request) {
	return new DeferredSecurityContext() {
		private SecurityContext securityContext;
		private boolean isGenerated;

		@Override
		public SecurityContext get() {
			if (this.securityContext == null) {
				this.securityContext = getContextOrNull(request);
				if (this.securityContext == null) {
					SecurityContextHolderStrategy strategy = SecurityContextHolder.getContextHolderStrategy();
					this.securityContext = strategy.createEmptyContext();
					this.isGenerated = true;
				}
			}
			return this.securityContext;
		}

		@Override
		public boolean isGenerated() {
			get();
			return this.isGenerated;
		}
	};
}
override fun loadDeferredContext(request: HttpServletRequest): DeferredSecurityContext {
	return object : DeferredSecurityContext {
		private var securityContext: SecurityContext? = null
		private var isGenerated = false

		override fun get(): SecurityContext {
			if (securityContext == null) {
				securityContext = getContextOrNull(request)
					?: SecurityContextHolder.getContextHolderStrategy().createEmptyContext()
						.also { isGenerated = true }
			}
			return securityContext!!
		}

		override fun isGenerated(): Boolean {
			get()
			return isGenerated
		}
	}
}

优化查询RequestCache

在 Spring Security 5 中,默认行为是在每个请求上查询保存的请求。 这意味着,在典型的设置中,为了使用 RequestCache ,在每个请求上都会查询 。HttpSessionspring-doc.cn

在 Spring Security 6 中,默认值是,如果定义了 HTTP 参数,则只会查询缓存的请求。 这允许 Spring Security 避免不必要地读取 .RequestCachecontinueHttpSessionRequestCachespring-doc.cn

在 Spring Security 5 中,默认值是 use ,它将在每个请求中查询缓存的请求。 如果您不覆盖默认值(即 using ),则可以使用以下配置显式选择加入 Spring Security 5.8 中的 Spring Security 6 行为:HttpSessionRequestCacheNullRequestCachespring-doc.cn

RequestCache如果参数存在,则仅检查保存的请求continue
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
	HttpSessionRequestCache requestCache = new HttpSessionRequestCache();
	requestCache.setMatchingRequestParameterName("continue");
	http
		// ...
		.requestCache((cache) -> cache
			.requestCache(requestCache)
		);
	return http.build();
}
@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
    val httpRequestCache = HttpSessionRequestCache()
    httpRequestCache.setMatchingRequestParameterName("continue")
    http {
        requestCache {
            requestCache = httpRequestCache
        }
    }
    return http.build()
}
<http auto-config="true">
	<!-- ... -->
	<request-cache ref="requestCache"/>
</http>

<b:bean id="requestCache" class="org.springframework.security.web.savedrequest.HttpSessionRequestCache"
	p:matchingRequestParameterName="continue"/>

需要显式调用 SessionAuthenticationStrategy

在 Spring Security 5 中,默认配置依赖于检测用户是否刚刚进行身份验证并调用 . 这样做的问题在于,这意味着在典型设置中,必须为每个请求读取 the。SessionManagementFilterSessionAuthenticationStrategyHttpSessionspring-doc.cn

在 Spring Security 6 中,默认情况下,身份验证机制本身必须调用 . 这意味着无需检测何时完成,因此不需要为每个请求读取 。SessionAuthenticationStrategyAuthenticationHttpSessionspring-doc.cn

要选择新的 Spring Security 6 默认值,可以使用以下配置。spring-doc.cn

需要显式调用SessionAuthenticationStrategy
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
	http
		// ...
		.sessionManagement((sessions) -> sessions
			.requireExplicitAuthenticationStrategy(true)
		);
	return http.build();
}
@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
	http {
		sessionManagement {
			requireExplicitAuthenticationStrategy = true
		}
	}
	return http.build()
}
<http>
	<!-- ... -->
	<session-management authentication-strategy-explicit-invocation="true"/>
</http>

如果这会破坏您的应用程序,那么您可以使用以下配置显式选择加入 5.8 默认值:spring-doc.cn

显式使用 Spring Security 5.8 的默认值SessionAuthenticationStrategy
@Bean
DefaultSecurityFilterChain springSecurity(HttpSecurity http) throws Exception {
	http
		// ...
		.sessionManagement((sessions) -> sessions
			.requireExplicitAuthenticationStrategy(false)
		);
	return http.build();
}
@Bean
open fun springSecurity(http: HttpSecurity): SecurityFilterChain {
	http {
		sessionManagement {
			requireExplicitAuthenticationStrategy = false
		}
	}
	return http.build()
}
<http>
	<!-- ... -->
	<session-management authentication-strategy-explicit-invocation="false"/>
</http>